Next.js ievainojamības iespaidīgums

Šo pārpostēju no ziņas, kuru publicēju lokālā izstrādātāju čatiņā. Pusdienlaika efforts.

Tā jaukā Next.js ievainojamība ir vnk episka. Zemāk HN posta komentāru galvenie pieturpunkti according to me.

1. Tangent. Izskatās, ka visi izstrādātāji ir vienojušies, ka Next.js middleware (starpprogrammatūra) ir tas vēl mēsls no lietojamības viedokļa. Tas bija populārākais komentārs :D
2. Triāža uzsākta vairāk nekā divas nedēļas (!!!) pēc ziņojuma. Feb 27 -> Mar 14. Te gan ir iespējams, ka tas ir statusa maiņas datums, nevis reālo labojumu. Ja tā, tad tāpat ilgi.
3. Izmantojamība ir triviāla un supervienkārša — pietiek padot hederi (galveni) x-middleware-subrequest: true un tiek apieta midlevāre. Pat tad, ja tā ir autentifikācijas midlevāre.
4. Tas bija nepadarīts darbs pēc PR #73482. Pats stilīgākais, ka tas nevienā CVE neparādās, lai gan ietekme bija vēl katastrofālāka..
5. Pēc būtības tas PR pārlika uz internal use only vairākus ar middleware bypass/overwrite saistītus hederus. Bet piemirsa šo! :)
6. Cloudflare, kā parasti, diezgan naski uztaisīja ieslēdzamu managed waf ruli.

Un te ir obligatoriskais Fireship video, jo cik zināms, ir tādi, kas par visu svarīgo nelasa, bet gaida to :)